Re: [Dolibarr-dev] GETPOST check alpha

[Régis Houssin]

de plus GETPOST ne filtre pas ceci

<IMG><SCRIPT>alert('XSS')</SCRIPT>>


Le 14/08/12 16:38, Florian Henry a écrit :
> Hello,
>
>     I wonder something with the GETPOST method.
>     It check for 'alpha' if there is " (double quote) in the input
> variable and in this case, result is blank. I think it's a little bit
> hard.
>     The comment on the top of this check is // '"' is dangerous
> because param in url can close the href= or src= and add javascript
> functions.
>     Why do not test if =" (equal (many space) and double quote) is in
> the input variable and in this case result will be blank ?
>
>     I'm not an expert of hacking so if my approach is wrong do not
> hesitate to tell me.
>
> Kind regards
> ---------
>
>  Bonjour a tous,
>
>     Je me pose une question sur la vérification alpha de la method
> GETPOST.
>     Si la chaîne contient " (guillemet) elle retourne une chaine vide.
> Je pense que c'est un peu rude comme test. Il est fréquent d'utiliser
> des guillemets dans du texte.
>     Dans le commentaire au dessus de cette vérification il est dit :
> guillemet est dangereux car les paramétré en URL avec href ou src
> peuvent inclure des instruction javascript.
>     Pourquoi ne pas tester =" (égale (*espace) guillemet) et renvoyer
> une chaîne vide dans ce cas.
>
>     Je ne suis pas un expert des technique de hack donc dites moi si
> je me trompe.
>
> Cdt.
>

Cordialement,
-- 
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden

Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------